Protezione dati personali
Leave a comment

Cookie: cosa cambia dal 9 gennaio 2022

1. I cookie: cosa sono e perché ci riguardano
2. Le norme che disciplinano l’utilizzo dei cookie (e degli altri strumenti di tracciamento)
3. Cosa dicono le nuove Linee guida del Garante Italiano per la protezione dei dati
4. Check list per arrivare pronti al 9 gennaio 2022

Se hai un sito internet o se creare siti è il tuo lavoro, segnati questa data: 9 gennaio 2022.

È questo, infatti, il giorno in cui diventeranno operative le Linee guida sui cookie e sugli altri strumenti di tracciamento, del Garante Italiano per la protezione dei dati personali, pubblicate in Gazzetta Ufficiale il 9 luglio 2021.

È quindi il momento di fare un check del tuo sito, per capire se è tutto a posto. Vediamo come e perché.

1.I cookie: cosa sono e perché ci riguardano

Le Linee guida del Garante (che aggiornano le precedenti Linee Guida, del 2014), definiscono i cookie come “stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano (…) all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo”.

Cosa vuol dire?

Se creare siti internet è il tuo lavoro, puoi saltare al paragrafo 2: sai bene cosa sono i cookie, come funzionano e a cosa servono.

Se invece, come me, ti occupi di altro, sarà più semplice capire cosa sono i cookie, osservando i loro “effetti”.

I cookie fanno in modo che, se visiti un sito internet alla ricerca di un prodotto, continui per un certo tempo a veder comparire, anche su altri siti, la pubblicità di quel prodotto.

I cookie permettono che la cartina di Google Maps, installata sul tuo sito, per rendere la tua attività immediatamente localizzabile, funzioni a dovere.

Grazie ai cookie, se metti un prodotto nel carrello di un e-commerce e poi abbandoni il carrello, quel prodotto resterà lì ad aspettarti ancora per qualche giorno.

Ed è sempre grazie ai cookie se puoi monitorare le interazioni degli utenti con il tuo sito o capire quale articolo del tuo blog è stato più letto degli altri.

Insomma, elementi di primissima importanza, senza alcuni dei quali i siti internet non potrebbero neppure funzionare (o lo farebbero molto peggio) e che possono consentire ai siti che li installano di avere informazioni preziosissime sul comportamento degli utenti e, quindi, creare profili di utenti, cui inviare pubblicità mirate.

Le informazioni che vengono codificate nei cookie possono contenere dati non personali, come le impostazioni della lingua o informazioni sul fatto che si stia utilizzando un pc o uno smartphone per navigare in rete, ma anche dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail.

In particolare, i cookie vengono distinti in tecnici (quelli che permettono al sito di funzionare) e di marketing/profilazione (quelli, in breve, che consentono di creare un profilo ed inviare pubblicità mirate).

I cookie analytics pur non essendo cookie tecnici, vengono assimilati a questi ultimi, se hanno la funzione di raccogliere dati anonimizzati sull’utilizzo di un sito.

Le norme in tema di cookie e profilazione degli utenti, ci ricordano che esistono anche altri strumenti di tracciamento (cosiddetti identificatori passivi), che consentono di raggiungere risultati analoghi a quelli dei cookie, ma utilizzando una diversa tecnologia. Anche di questi strumenti si deve tenere conto progettando un sito internet e la sua conformità alla legge.

2.Le norme che disciplinano l’utilizzo dei cookie (e degli altri strumenti di tracciamento)

La prima norma ad occuparsi di cookie è stata la Direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva ePrivacy), poi modificata dalla Direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio.

A quella prima norma europea ne sono seguite molte altre, in ambito europeo ed italiano, sentenze e pareri dell’EDPB (European Data Protection Board). Qui, puoi leggere le principali, come indicate sul sito del Garante italiano, che è una fonte perfetta per ricostruire la storia delle norme sui cookie e sulla protezione dati in generale.

Perché l’utilizzo di cookie (in particolare quelli di marketing e profilazione) è una faccenda che riguarda i dati personali e le norme sulla privacy?

Il Considerando 30 del Regolamento Europeo 679/2016 (GDPR) afferma che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”, ovvero: attraverso l’utilizzo dei cookie è possibile creare il profilo di un utente e addirittura identificarlo.

L’art. 122 del Codice privacy italiano (Dlgs 196/2003) prevede che “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate”, ovvero: è possibile installare cookie nel terminale di un utente, solo dopo aver avuto il suo consenso (fatta eccezione per i cookie tecnici).

In pratica: poiché attraverso i cookie (di marketing e profilazione) è possibile creare profili di utenti (o di gruppi di utenti) e analizzare preferenze, dati di navigazione, gusti e abitudini, al fine di inviare a questi utenti pubblicità mirate, è necessario, per utilizzare questo tipo di strumento, ottenere il consenso dell’utente all’installazione dei cookie.

Con le Linee guida sui cookie e sugli altri strumenti di tracciamento, del 10 giugno 2021 (pubblicate in Gazzetta Ufficiale il 9 luglio 2021), il Garante italiano (che si era già espresso in merito con il Provvedimento n. 229, dell’8 maggio 2014) fornisce importantissime indicazioni sull’acquisizione del consenso dell’utente, sull’informativa, sul banner dei cookie, su tempi e modi di conservazione del consenso.

3.Cosa dicono le nuove Linee guida del Garante Italiano per la protezione dei dati

Il Garante italiano concede, ai titolari di siti internet, sei mesi di tempo (dalla pubblicazione delle Linee Guida) per l’adeguamento dei siti alle nuove indicazioni in materia di cookie: il termine ultimo è quindi quello del 9 gennaio 2022.

Ecco cosa devi controllare, perché il tuo sito sia a norma.

Cookie tecnici/ analitici e di marketing/profilazione

La prima verifica da fare è quella relativa ai cookie installati sul sito. Se il sito installa solo cookie tecnici e analitici (solo per statistiche anonime e aggregate), non è necessario raccogliere alcun consenso, ma basterà caricare sul sito l’informativa cookie.

Se invece vengono installati anche cookie di marketing/profilazione, sarà necessario dare all’utente la possibilità di scegliere se e quali cookie installare.

Banner dei cookie

All’apertura di un sito deve comparire un banner, ben visibile, ma non tanto grande da occupare l’intera pagina ed impedire la navigazione (no ai cookie wall) che deve contenere:

-Informativa breve sui cookie installati

-Link all’informativa estesa

-Tre bottoni: “X” (in alto a destra per chiudere il banner accettando solo i cookie tecnici) – “Accetta tutti” (per accettare tutti i cookie) – “Personalizza” (per consentire all’utente di scegliere quali cookie (divisi per categoria) accettare e quali no

Il banner dei cookie non deve comparire ad ogni apertura del sito, ma ogni sei mesi, a meno che non vengano installati nuovi cookie, di diversa funzionalità.

Tramite il banner, si dovrà acquisire in maniera chiara e inequivocabile il consenso all’installazione dei cookie (lo scrolling non è ammesso). Il consenso dovrà essere tracciato, nel senso che se l’utente vorrà riaprire il banner dei cookie (tramite il bottone inserito nel footer) dovrà trovare selezionati i consensi a suo tempo prestati.

Informativa estesa

Deve contenere una breve spiegazione circa natura e funzione dei cookie e l’elenco dei cookie installati, con la loro scadenza e suddivisi per funzione e dominio di provenienza (prima parte/terza parte). Non dimenticare le altre informazioni, richieste dal GDPR: i diritti dell’interessato e i dati del Titolare del trattamento dati.

4.Check list per arrivare pronti al 9 gennaio 2022

In breve, controlla con questa check list, se il tuo sito è a prova di Linee Guida.

  • Hai verificato se il tuo sito installa solo cookie tecnici/analitici (non ti serve il consenso) o anche di marketing/profilazione (ti serve il consenso)?
  • Il tuo sito ha un banner dei cookie?
  • È presente nel banner una informativa breve chiara e completa?
  • Sono presenti nel banner i tre bottoni: “X” – “Accetta tutti” – “Personalizza”?
  • È possibile personalizzare le scelte sui cookie tramite il banner?
  • È presente nel banner il link all’informativa estesa?
  • L’informativa estesa è chiara e indica in maniera analitica i cookie installati, la loro funzione, scadenza e il dominio che li installa?
  • Hai inserito nel footer del sito un bottone che consenta all’utente in qualunque momento di rivedere le scelte sui cookie?
  • Hai impostato un plugin per tenere traccia delle scelte dell’utente e riproporre in automatico il banner solo a distanza di sei mesi?

Allora, come è andata? Abbiamo ancora un po’ di tempo, ma il 9 gennaio 2022 è vicino!

Ti lascio ancora due strumenti utilissimi per saperne di più: le FAQ sui cookie e la scheda di sintesi sulle Linee Guida. Tutto sul sito del Garante Italiano.

Se hai necessità di scrivere una cookie policy personalizzata per il tuo sito, la cosa migliore è che tu ti rivolga a un professionista specializzato.

Foto: Unsplash

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.